Configurar a configuração Gold do gateway de nuvem
Contents
Introduction
Este documento descreve uma análise aprofundada da Configuração Gold fornecida para o Cisco Secure Email Cloud Gateway. A Configuração Gold para clientes de nuvem do Cisco Secure Email é a melhor prática e a configuração de dia zero para o Gateway de nuvem e o Cisco Secure Email and Web Manager. As implantações do Cisco Secure Email Cloud usam Gateway(s) de nuvem e pelo menos um (1) Gerenciador de e-mail e Web. Partes da configuração e das práticas recomendadas instruem os administradores a usar quarentenas localizadas no Gerenciador de e-mail e da Web para fins de gerenciamento centralizado.
Prerequisites
Requirements
A Cisco recomenda que você conheça estes tópicos:
- Cisco Secure Email Gateway ou Cloud Gateway, administração de UI e CLI
- Cisco Secure Email e Web Manager, administração de nível de UI
- Os clientes do Cisco Secure Email Cloud podem solicitar acesso à CLI; consulte: Acesso à Interface de Linha de Comando (CLI)
Componentes Utilizados
As informações neste documento são da configuração ouro e das práticas recomendadas para clientes e administradores do Cisco Secure Email Cloud.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Produtos Relacionados
Este documento também se aplica a:
- Dispositivo virtual ou hardware local do Cisco Secure Email Gateway
- Dispositivo virtual e de hardware no local do Cisco Secure Email and Web Manager
Quarentenas de política
As quarentenas são configuradas e mantidas no Gerenciador de e-mail e Web para clientes do Cisco Secure Email Cloud. Faça login no Gerenciador de e-mail e Web para exibir as quarentenas:
- CONTA_TRANSFERÊNCIA
- ANTI_FALSIFICAÇÃO
- BLOCK_ATTACHMENTS
- LISTA DE BLOQUEIO
- DKIM_FAIL
- DMARC_QUARANTINE
- DMARC_REJECT
- FORGED_EMAIL
- CONTEÚDO_INAPROPRIADO
- MACRO
- OPEN_RELAY
- SDR_DATA
- SPF_HARDFAIL
- SPF_SOFTFAIL
- TG_OUTBOUND_MALWARE
- URL_MAL-INTENCIONADO
Configuração Gold do gateway de nuvem
Configuração básica
Políticas de e-mail > Recipient Access Table (RAT)
A tabela de acesso de destinatário define quais destinatários são aceitos por um ouvinte público. No mínimo, a tabela especifica o endereço e se deve aceitá-lo ou rejeitá-lo. Revise a RAT para adicionar e gerenciar seus domínios conforme necessário.
Rede > Rotas SMTP
Se o destino da rota SMTP for Microsoft 365, consulte Nova Instância de CES de Limitação do Office365 com "4.7.500 Servidor ocupado. Please try again later." (Tente novamente mais tarde.)
Serviços de segurança
Os serviços listados são configurados para todos os clientes do Cisco Secure Email Cloud com os valores fornecidos:
Antisspam IronPort (IPAS)
- Habilitado e configurar Sempre verificar 1M e Nunca verificar 2M
- Tempo limite para verificação de mensagem única: 60 segundos
Filtragem de URL
- Habilitar categorização de URL e filtros de reputação
- (Opcional) Crie e configure a lista de permissão de URL chamada "bypass_urls".
- Habilitar Rastreamento de Interação da Web
- Configurações avançadas:
- Tempo limite de pesquisa de URL: 15 segundos
- Número máximo de URLs verificados no corpo e no anexo: 400
- Reescrever texto de URL e HREF na mensagem: No
- Log de URL: Habilitado
- (Opcional) A partir do AsyncOS 14.2 para gateway de nuvem, o veredito retrospectivo de URL e a correção de URL estão disponíveis; consulte as notas de versão fornecidas e Configure a filtragem de URL para Secure Email Gateway e Cloud Gateway
Detecção de Correio de Cinza
- Habilitar e configurar Sempre verificar 1M e Nunca verificar 2M
- Tempo limite para verificação de mensagem única: 60 segundos
Filtros de epidemia
- Ativar regras adaptáveis
- Tamanho máximo de mensagem a verificar: 2 M
- Habilitar Rastreamento de Interação da Web
Proteção avançada contra malware > Reputação e análise de arquivos
- Habilitar reputação do arquivo
- Habilitar Análise de Arquivo
- Consulte as Configurações globais para examinar os tipos de arquivo para análise de arquivo
Rastreamento de mensagem
- Ativar Log de Conexões Rejeitadas (se necessário)
Administração do sistema
Usuários (Administração do sistema > Usuários)
- Lembre-se de revisar e definir as políticas de senha associadas às configurações de conta de usuário local e senha
- Se possível, configure e habilite o Lightweight Diretory Access Protocol (LDAP) para autenticação (Administração do sistema > LDAP)
Inscrições de log (Administração do sistema > Inscrições de log)
- Se não estiver configurado, crie e ative:
- Logs do histórico de configuração
- Logs de clientes do URL Reputation
- Nas Configurações globais de inscrições de log, edite as configurações e adicione os cabeçalhos To, From, Reply-To, Sender.
Configuração adicional (opcional)
Serviços adicionais para revisar e considerar:
Administração do sistema > LDAP
- Se você configurar LDAP, a Cisco recomenda LDAP com SSL habilitado
Defesa de URL
- Consulte Configurar filtragem de URL para Secure Email Gateway e Cloud Gateway para obter as melhores práticas de configuração mais atualizadas para a defesa de URL.
- A Cisco também se aprofunda na defesa de URLs; consulte o Guia de defesa de URL.
- Alguns exemplos incluídos no Guia de defesa de URL também estão incorporados neste documento.
SPF
- Os registros DNS da Sender Policy Framework (SPF) são criados externamente para o Gateway de Nuvem. Portanto, a Cisco recomenda que todos os clientes integrem as práticas recomendadas de SPF, DKIM e DMARC em sua postura de segurança. Consulte Configuração e práticas recomendadas do SPF para obter mais informações sobre a validação do SPF.
- Para os clientes do Cisco Secure Email Cloud, uma macro é publicada para todos os Gateways de nuvem por nome de host de alocação para facilitar a adição de todos os hosts.
- Coloque-o antes de ~all ou -all no registro DNS TXT (SPF) atual, se existir:
exists:%{i}.spf.<allocation>.iphmx.com
- Informações e ferramentas recomendadas para obter mais informações sobre o SPF:
Exemplos adicionais de SPF
- Um excelente exemplo de SPF é se você receber e-mails do Gateway de nuvem e enviar e-mails de saída de outros servidores de e-mail. Você pode usar o mecanismo "a:" para especificar hosts de e-mail:
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
- Se você só enviar emails de saída pelo Gateway de Nuvem, poderá usar:
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
- Neste exemplo, o mecanismo "ip4:" ou "ip6:" especifica um endereço IP ou intervalo de endereços IP:
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Alterações no nível CLI
- Como observado nos pré-requisitos, os clientes do Cisco Secure Email Cloud podem solicitar acesso à CLI; consulte Acesso à Interface de Linha de Comando (CLI).
Filtro Anti-Spoof
- Certifique-se de rever o Guia de práticas recomendadas para anti-falsificação
- Este guia fornece exemplos abrangentes e práticas recomendadas de configuração para prevenção de falsificação de e-mail
Adicionar filtro de cabeçalho
- Somente CLI, escreva e habilite o filtro de mensagens addHeaders:
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
Tabela de acesso de host (Políticas de e-mail > Tabela de acesso de host (HAT))
Visão geral do HAT > Grupos de remetentes adicionais
- Guia do usuário do ESA: criação de um grupo de remetente para tratamento de mensagens
- BYPASS_SBRS - Colocar em posição superior para origens que ignoram a reputação
- MY_TRUSTED_SPOOF_HOSTS - Parte do Filtro de Falsificação
- TLS_REQUIRED - Para conexões TLS forçadas
No grupo de remetente SUSPECTLIST predefinido
- Guia do usuário do ESA: Verificação do remetente: Host
- ative "Pontuações SBRS em Nenhum".
- (Opcional) habilite "Falha na pesquisa de registro PTR de host de conexão devido a uma falha temporária do DNS."
Exemplo de HAT agressivo
- BLOCKLIST_REFUSE [-10.0 a -9.0] POLÍTICA: BLOCKED_REFUSE
- BLOCKLIST_REJECT [-9.0 a -2.0] POLÍTICA: BLOCKED_REJECT
- POLÍTICA SUSPECTLIST [-2.0 a 0.0 e pontuações SBRS de "Nenhum"]: LIMITADO
- ACCEPTLIST [0.0 a 10.0] POLITICA: ACEITO
Exemplo de HAT:
Política de fluxo de e-mail (Parâmetros de política padrão)
Parâmetros de política padrão
Configurações de segurança
- Definir Transport Layer Security (TLS) como preferencial
- Habilitar Sender Policy Framework (SPF)
- Habilitar DomainKeys Identified Mail (DKIM)
- Habilitar verificação de autenticação, relatório e conformidade de mensagens baseadas em domínio (DMARC) e enviar relatórios de feedback agregados
Políticas de recebimento de e-mail
A política padrão é configurada de forma semelhante a:
Antisspam
- Ativado, com limites deixados nos limites padrão. (A modificação da pontuação pode aumentar os falsos positivos.)
Antivírus
- Varredura de mensagens: somente varredura para vírus
- garantir que a caixa de seleção "Incluir um cabeçalho X" esteja ativada
- Para mensagens não verificáveis e mensagens infectadas por vírus, defina Arquivar mensagem original como Não
AMP
- Para ações não verificáveis em erros de mensagem, use Advanced e Add Custom Header to Message, X-TG-MSGERROR, value: Verdadeiro.
- Para ações não verificáveis no limite de taxa, use Advanced e Add Custom Header to Message, X-TG-RATELIMIT, valor: Verdadeiro.
- Para mensagens com análise de arquivo pendente, use Ação aplicada à mensagem: "Quarentena".
Correio de Cinza
- A digitalização é habilitada para cada veredito (Marketing, Social, Bulk), com Prepend para Add Text to Subject e a ação é Deliver.
- Para Ação em massa de e-mail, use Avançado e Adicionar cabeçalho personalizado (opcional): X-Bulk, valor: Verdadeiro.
Filtros de conteúdo
- Enabled e URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE_SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT estão selecionados
- Esses filtros de conteúdo são fornecidos posteriormente neste guia
Filtros de epidemia
- O nível de ameaça padrão é 3; ajuste-se aos seus requisitos de segurança.
- Se o nível de ameaça de uma mensagem for igual ou exceder esse limite, a mensagem será movida para a Quarentena de detecção. (1 = ameaça mais baixa, 5 = ameaça mais alta)
- Habilitar modificação de mensagem
- Reescrita de URL definida para "Habilitar para todas as mensagens".
- Alterar assunto antecede a: [Possível fraude $threat_category]
Nomes de política (mostrados)
- BLOCKLIST Política de e-mail
A política de e-mail da LISTA DE BLOQUEIO é configurada com todos os serviços desativados, exceto a Proteção avançada contra malware, e vincula a um filtro de conteúdo com a ação QUARENTENA.
- Política de E-mail ALLOWLIST
A política de e-mail ALLOWLIST tem Antispam, Graymail desabilitado e Filtros de conteúdo habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT ou filtros de conteúdo de sua escolha e configuração.
- Política de e-mail ALLOW_SPOOF
A política de e-mail ALLOW_SPOOF tem todos os serviços padrão ativados, com Filtros de conteúdo ativados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR ou filtros de conteúdo de sua escolha e configuração.
Políticas de envio de e-mail
A política padrão é configurada de forma semelhante a:
Antisspam
- Desabilitado
Antivírus
- Varredura de mensagens: Fazer varredura somente para vírus
- Desmarque a caixa de seleção "Incluir um cabeçalho X".
- (Opcional) Para todas as mensagens: Avançado > Outra notificação, habilite "Outros" e inclua seu endereço de e-mail de contato do administrador/SOC
Proteção avançada contra malware
- Habilitar somente reputação de arquivo
- Ações não verificáveis no limite de taxa: use Advanced e Add Custom Header to Message: X-TG-RATELIMIT, valor: "Verdadeiro".
- Mensagens com anexos de malware: use Advanced e Add Custom Header to Message: X-TG-OUTBOUND, valor: "MALWARE DETECTADO."
Correio de Cinza
- Desabilitado
Filtros de conteúdo
- Enabled e TG_OUTBOUND_MALICIOUS, Strip_Secret_Header, EXTERNAL_SENDER_REMOVE, ACCOUNT_TAKEOVER ou os filtros de conteúdo de sua escolha estão selecionados.
Filtros de epidemia
- Desabilitado
DLP
- Habilitar, com base no licenciamento DLP e na configuração DLP.
Outras configurações
Dicionários (Políticas de e-mail > Dicionários)
- Ativar e rever o dicionário Profanity e Sexual_Content
- Criar dicionário Executive_FED para detecção de e-mail forjado com todos os nomes executivos
- Crie dicionários adicionais para palavras-chave restritas ou outras conforme necessário para suas políticas, ambiente e controle de segurança
Controles de destino (Políticas de e-mail > Controles de destino)
- Para o domínio padrão, configure Suporte TLS como Preferencial
- Você pode adicionar destinos para domínios de webmail e definir limites mais baixos
- Consulte o nosso guia Rate Limit Your Outbound Mail with Destination Control Settings para obter mais informações.
Filtros de conteúdo
Filtros de conteúdo de entrada
URL_QUARANTINE_MALICIOUS
Condição: Reputação de URL; url-reputation(-10.00, -6.00 , "bypass_urls", 1, 1)
Ação: Quarentena: quarantine("URL_MALICIOUS")
URL_REWRITE_SUSPICIOUS
Condição: Reputação de URL; url-reputation(-5.90, -5.60 , "bypass_urls", 0, 1)
Ação: Reputação de URL; url-reputation-proxy-redirect(-5.90, -5.60,"",0)
URL_INAPROPRIADO
Condição: Categoria de URL; url-category (['Adult', 'Child Abuse Content', 'Extreme', 'Hate Speech', 'Illegal Activities', 'Illegal Downloads', 'Illegal Drugs', 'Pornography', 'Filter Avoidance'], "bypass_urls", 1, 1)
Ação: Quarentena; duplicate-quarantine("INAPPROPRIATE_CONTENT")
DKIM_FAILURE
Condição: Autenticação DKIM; dkim-authentication == hardfail
Ação: Quarentena; duplicate-quarantine("DKIM_FAIL")
SPF_HARDFAIL
Condição: Verificação de SPF; spf-status == falha
Ação: Quarentena; duplicate-quarantine("SPF_HARDFAIL")
EXECUTIVE_SPOOF
Condição: Detecção de e-mail forjado; forged-email-detection("Executive_FED", 90, "")
Condição: Outro cabeçalho; header("X-IronPort-SenderGroup") != "(?i)allowspoof"
* definir Aplicar regra: Somente se todas as condições corresponderem
Ação: Adicionar/editar cabeçalho; edit-header-text("Assunto", "(.*)", "[EXTERNO]\\1")
Ação: Quarentena; quarentena duplicada("FORGED_EMAIL")
DOMAIN_SPOOF
Condição: Outro cabeçalho; header("X-Spoof")
Ação: Quarentena; duplicate-quarantine("ANTI_SPOOF")
SDR
Condição: Reputação de domínio; sdr-reputation (['terrível'], "")
Condição: Reputação de domínio; idade sdr ("dias", <, 5, "")
* definir Aplicar regra: Se uma ou mais condições corresponderem
Ação: Quarentena; duplicate-quarantine("SDR_DATA")
TG_RATE_LIMIT
Condição: Outro cabeçalho; header("X-TG-RATELIMIT")
Ação: Add Log Entry; log-entry("X-TG-RATELIMIT: $filenames")
BLOCKLIST_QUARANTINE
Condição: (Nenhum)
Ação: Quarentena; quarentena("BLOCKLIST")
Filtros de conteúdo de saída
TG_OUTBOUND_MALICIOUS
Condição: Outro cabeçalho; cabeçalho("X-TG-OUTBOUND") == MALWARE
Ação: Quarentena; quarentena("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
Condição: Outro cabeçalho; header("PLACEHOLDER") == PLACEHOLDER
Ação: Cabeçalho da Faixa; strip-header("X-IronPort-Tenant")
EXTERNAL_SENDER_REMOVE
Condição: (Nenhum)
Ação: Adicionar/editar cabeçalho; edit-header-text("Assunto", "\\[EXTERNO\\]\\s?", "")
CONTA_TRANSFERÊNCIA
Condição: Outro cabeçalho; cabeçalho("X-AMP-Result") == (?i)mal-intencionado
Condição: Reputação de URL; reputação de URL(-10.00, -6.00 , "", 1, 1)
*Definir Regra de Aplicação: Se uma ou mais condições corresponderem
Ação: Notify;notify ("<Inserir endereço de e-mail do administrador ou distribuidor>", "POSSÍVEL TRANSFERÊNCIA DE CONTA", "", "CONTA_TRANSFERÊNCIA_AVISO")
Ação: duplicate-quarantine("CONTA_TRANSFERÊNCIA")
Para clientes do Cisco Secure Email Cloud, temos filtros de conteúdo de exemplo incluídos na configuração gold e nas práticas recomendadas. Além disso, reveja os filtros "SAMPLE_" para obter mais informações sobre condições e ações associadas que podem ser úteis na sua configuração.
Cisco Live
O Cisco Live hospeda muitas sessões globalmente e oferece sessões presenciais e inovações técnicas que cobrem as melhores práticas do Cisco Secure Email. Para acesso e sessões anteriores, visite o Cisco Live (requer login no CCO):
-
Segurança de e-mail da Cisco: Práticas recomendadas e ajuste fino - BRKSEC-2131
- DMARCate seu perímetro de e-mail - BRKSEC-2131
- Corrigindo e-mail! - Solução avançada de problemas do Cisco Email Security - BRKSEC-3265
- Integrações de API para Cisco Email Security - DEVNET-2326
- Proteção de serviços de caixa de correio SaaS com Cloud Email Security da Cisco - BRKSEC-1025
- Segurança de e-mail: Práticas recomendadas e ajuste fino - TECSEC-2345
- 250 não OK - Entrando na defensiva com o Cisco Email Security - TECSEC-2345
- Cisco Domain Protection e Cisco Advanced Phishing Protection: Aproveitando ao máximo a próxima camada de segurança de e-mail! - BRKSEC-1243
- SPF não é um acrônimo para "Spoof"! Vamos utilizar o máximo da próxima camada de segurança de e-mail! - DGTL-BRKSEC-2327
Additional Information
Documentação do Cisco Secure Email Gateway
- Notas de versão
- Guia do usuário
- Guia de referência CLI
- Guias de programação de API para Cisco Secure Email Gateway
- Fonte aberta usada no Cisco Secure Email Gateway
- Guia de instalação do Cisco Content Security Virtual Appliance(inclui vESA)
Documentação do Secure Email Cloud Gateway
Documentação do Cisco Secure Email and Web Manager
- Notas de versão e matriz de compatibilidade
- Guia do usuário
- Guias de programação de API para Cisco Secure Email e Web Manager
- Guia de instalação do Cisco Content Security Virtual Appliance(inclui vSMA)
Documentação do produto Cisco Secure
Informações Relacionadas
- Conformidade com o Cisco Secure Email Security
- Descrição da oferta: E-mail seguro
- Termos da Cisco Universal Cloud
- Suporte e downloads da Cisco
- [EXTERNO] OpenSPF: Informações básicas e avançadas de SPF
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
31-Jul-2022 |
Atualização dos valores mais recentes da Configuração Gold, reformulação para atender aos critérios de publicação, atualização de links e referências. |
1.0 |
15-May-2017 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)